PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

이 논문은 메타 픽셀의 구성을 역공학적으로 분석하는 'PixelConfig' 프레임워크를 제시하고, 2017 년부터 2024 년까지의 데이터를 통해 건강 관련 웹사이트를 포함한 웹상에서 민감한 정보 수집을 위한 추적 기능이 기본 설정에 의해 광범위하게 활성화되어 있으며, 제한 설정이 존재하더라도 실제 보호 효과는 미미함을 규명했습니다.

핵심

🕵️‍♂️ 연구의 핵심: "보이지 않는 감시 카메라"를 해부하다

상상해 보세요. 인터넷 웹사이트는 거대한 쇼핑몰이고, **'메타 픽셀'**은 그 쇼핑몰 구석구석에 숨겨진 초소형 감시 카메라입니다.

과거 연구자들은 "이 쇼핑몰에 카메라가 몇 대나 있을까?"만 세었습니다. 하지만 이 연구팀은 **"그 카메라가 실제로 무엇을 찍고 있는지, 설정은 어떻게 되어 있는지"**를 역공학 (Reverse-Engineering) 으로 분석했습니다. 마치 카메라의 내부 회로를 뜯어보고 "아, 이 카메라는 '장바구니 담기' 버튼만 찍는 게 아니라, '성병 검사 예약' 버튼까지 찍고 있구나!"라고 발견한 셈입니다.

연구팀은 이 작업을 위해 **'픽셀Config (PixelConfig)'**라는 가상의 해부 도구 (프레임워크) 를 개발했습니다.

🏥 두 가지 쇼핑몰 비교: "일반 상점" vs "병원"

연구팀은 두 종류의 쇼핑몰을 비교했습니다.

1. 일반 쇼핑몰 (Top 10K): 뉴스, 쇼핑, 기술 사이트 등 (대조군)
2. 병원 쇼핑몰 (18K): 건강 관련 웹사이트 (환자 정보, 진료 예약 등 민감한 정보가 있는 곳)

이 두 곳에서 카메라가 어떻게 설정되어 있는지 2017 년부터 2024 년까지 7 년 동안 추적했습니다.

🔍 주요 발견 3 가지: 카메라가 무엇을 찍고 있나?

연구팀은 카메라의 설정을 세 가지 카테고리로 나누어 분석했습니다.

1. 활동 추적 (Activity Tracking): "무엇을 했는지"

• 비유: 카메라가 "고객이 어떤 버튼을 눌렀는지"를 자동으로 기록하는 기능입니다.
• 발견: 놀랍게도 **98.4%**의 웹사이트에서 이 기능이 **기본 설정 (Default)**으로 켜져 있었습니다.
  • 광고주들이 따로 설정하지 않아도, 메타가 "우리가 다 해드릴게요!"라고 미리 켜놓은 것입니다.
  • 특히 병원 사이트에서는 '성기능 장애 (발기부전)', 'HIV 검사', '임신' 등 매우 민감한 질병과 관련된 버튼을 누르는 것까지 자동으로 기록했습니다.

2. 신원 추적 (Identity Tracking): "누구인지"

• 비유: 카메라가 "이 손님은 누구인가?"를 파악하기 위해 이름, 전화번호, 이메일 등을 수집하는 기능입니다.
• 발견: 이 역시 **98.4%**의 사이트에서 켜져 있었습니다.
  • 보통 쿠키 (Cookie) 를 차단하면 추적하기 어렵지만, 메타 픽셀은 **'1 차 쿠키 (First-party cookie)'**라는 기술을 써서 쿠키 차단 기능을 우회했습니다.
  • 광고주들이 "이 기능이 광고 효과를 높여줘요"라고 유도 (Nudge) 하기 때문에, 대부분의 사이트가 이 설정을 끄지 않았습니다.

3. 추적 제한 (Tracking Restrictions): "안 찍어도 되는 것"

• 비유: "이 부분은 찍지 마세요"라고 카메라에 지시하는 기능입니다. 메타는 최근 규제 압력에 따라 **'코어 설정 (Core Setup)'**이라는 보호 장치를 만들었습니다.
• 발견:
  • 병원 사이트의 약 **34%**만 이 보호 장치를 켰습니다. 나머지는 여전히 민감한 정보를 찍고 있습니다.
  • 더 큰 문제는: 보호 장치를 켜도 완벽하지 않다는 것입니다.
    • 일부 사이트는 URL 주소를 잘라내지 않고, 해시 (Hash) 처리된 형태로 전체 주소를 보내서 메타가 다시 내용을 알아볼 수 있게 만들었습니다.
    • 마치 "비밀번호를 암호화해서 보냈으니 안전하다"고 생각했는데, 메타가 그 암호를 쉽게 풀어서 내용을 읽는 것과 같습니다.

⏳ 시간의 흐름: 변화는 있었을까?

• 2017~2022 년: 메타는 새로운 기능들을次次로 추가했고, 웹사이트들은 이를 거의 모두 받아들였습니다. 특히 병원 사이트는 민감한 정보를 더 많이 수집하는 경향이 있었습니다.
• 2023~2024 년: 미국 정부 (FTC, HHS) 가 "병원 사이트에서 개인정보를 너무 많이 수집하지 마라!"고 경고하고 벌금을 부과하기 시작했습니다.
  • 그 결과, 병원 사이트들이 '자동 추적' 기능을 줄이고 **'보호 설정 (Core Setup)'**을 늘리기 시작했습니다.
  • 하지만 여전히 많은 사이트가 기본 설정을 그대로 사용하고 있어, 보호 장치가 제대로 작동하지 않는 경우가 많습니다.

💡 결론: "기본 설정의 함정"

이 연구의 가장 중요한 메시지는 **"우리는 메타 픽셀의 설정을 스스로 통제하고 있다고 생각하지만, 실제로는 메타가 미리 설정해 둔 '기본값'에 따라 움직이고 있다"**는 것입니다.

• 광고주들은 "어떻게 설정해야 할지 몰라서" 또는 "메타가 추천해서" 민감한 정보를 수집하는 설정을 끄지 않습니다.
• 메타는 "우리가 규제에 대응해서 보호 장치를 만들었다"고 하지만, 실제로는 그 장치가 우회될 수 있거나 모든 사이트에 적용되지 않습니다.

한 줄 요약:

"우리의 건강 정보와 사생활을 수집하는 디지털 카메라는 대부분 '자동 촬영 모드'로 설정되어 있으며, 우리가 '비밀 촬영 금지' 버튼을 누르더라도 카메라가 여전히 은밀하게 찍고 있을 수 있습니다."

이 연구는 우리가 인터넷을 이용할 때, 보이지 않는 감시 카메라가 얼마나 정교하게 설정되어 있는지, 그리고 그 설정이 얼마나 취약할 수 있는지를 경고하고 있습니다.

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: 온라인 광고 플랫폼 (Meta, Google 등) 은 웹사이트에 설치된 '트래킹 픽셀 (Tracking Pixel)'을 통해 사용자의 행동을 추적하고, 이를 기반으로 광고를 개인화하거나 재타겟팅합니다.
• 기존 연구의 한계: 기존 연구들은 주로 웹상에서 픽셀의 존재 여부 (Prevalence) 에 초점을 맞추었습니다. 그러나 동일한 픽셀이 다른 웹사이트에 설치되었을 때 구성 (Configuration) 이 어떻게 다르게 설정되는지에 대한 연구는 부족했습니다.
• 핵심 문제: 현대의 자바스크립트 기반 픽셀은 다양한 구성 가능한 기능 (이벤트 추적, 식별 정보 수집, 제한 설정 등) 을 제공합니다. 단순히 픽셀이 존재하는지 확인하는 것만으로는 실제 추적 범위와 민감한 정보 (건강 정보 등) 가 어떻게 수집되는지 파악할 수 없습니다. 특히 건강 관련 웹사이트에서 민감한 의료 정보가 어떻게 추적되는지에 대한 구체적인 구성 분석이 필요했습니다.

2. 방법론 (Methodology)

저자들은 PixelConfig라는 새로운 역공학 (Reverse-Engineering) 프레임워크를 제안하여 웹상에서 배포된 Meta 픽셀의 구성을 분석했습니다.

A. PixelConfig 프레임워크 (차별 분석 기반)

이 프레임워크는 정적 (Static) 과 동적 (Dynamic) 접근법을 결합하여 픽셀 구성 코드의 특정 부분이 어떤 추적 행동에 해당하는지 매핑합니다.

1. 패치 및 재플레이 (Patching & Replaying):
   • 특정 픽셀 구성 스크립트에서 특정 설정 (예: 자동 이벤트, 쿠키 설정 등) 을 제거하거나 주석 처리합니다.
   • 수정된 스크립트를 브라우저 (Chrome DevTools 의 오버라이드 기능 사용) 에서 재실행합니다.
   • Meta 서버로 전송되는 네트워크 트래픽 (HTTP 요청) 을 비교하여, 수정된 코드가 어떤 데이터 전송을 막았는지 확인합니다.
2. 개발자 계정 테스트:
   • Meta Business Manager 에 개발자 계정을 생성하고 테스트 웹사이트에 픽셀을 설치합니다.
   • 다양한 설정을 변경하며 생성되는 구성 스크립트와 네트워크 트래픽의 변화를 관찰하여 구성 요소와 기능 간의 인과 관계를 규명합니다.
3. 차별 분석 (Differential Analysis):
   • 원본 구성 스크립트와 패치된 스크립트, 혹은 설정 변경 전후의 스크립트와 트래픽을 비교하여 특정 구성 (Configuration) 이 어떤 추적 기능 (Activity Tracking, Identity Tracking, Restrictions) 을 활성화하는지 정확히 식별합니다.

B. 데이터 수집 및 분석 범위

• 데이터 소스: Internet Archive 의 Wayback Machine 을 활용하여 2017 년부터 2024 년까지의 시계열 데이터를 수집했습니다.
• 대상 웹사이트:
  • 건강 관련 웹사이트: 18,327 개 (AHA 및 CMS 데이터 기반).
  • 통제 그룹 (Control Group): 상위 10,000 개 웹사이트 (Tranco ID 기준).
• 분석 대상: 픽셀 설치 여부뿐만 아니라, Wayback Machine 에 보관된 픽셀 구성 스크립트 (Configuration Scripts) 를 추출하여 분석했습니다.

3. 주요 기여 (Key Contributions)

1. 새로운 분석 프레임워크 (PixelConfig): 픽셀의 소스 코드와 네트워크 트래픽을 결합하여 역공학적으로 구성을 분석하는 체계적인 방법론을 제시했습니다.
2. 종단적 (Longitudinal) 분석: 2017 년부터 2024 년까지의 장기간 데이터를 통해 Meta 픽셀의 기능 도입, 채택률 변화, 규제 대응 등을 시간의 흐름에 따라 분석했습니다.
3. 건강 정보 추적의 구체적 규명: 건강 관련 웹사이트에서 픽셀이 어떻게 의료 예약, 특정 질병 검색 (예: 발기부전, HIV 등) 과 같은 민감한 정보를 수집하는지 구체적인 사례와 구성 코드를 통해 증명했습니다.
4. 규제 및 플랫폼 정책의 영향 평가: HIPAA, FTC, HHS 등의 규제 조치와 Meta 의 정책 변경 (예: Core Setup 도입) 이 실제 웹사이트 구성에 미친 영향을 실증적으로 분석했습니다.

4. 주요 결과 (Key Results)

A. 활동 추적 (Activity Tracking)

• 자동 이벤트 (Automatic Events): 버튼 클릭 및 페이지 메타데이터를 자동으로 수집하는 기능은 **최대 98.4%**의 웹사이트에서 채택되었습니다. 이는 Meta 의 기본 설정 (Default) 이 활성화되어 있기 때문입니다.
• 이벤트 설정 도구 (Event Setup Tool): 건강 웹사이트에서는 의료 예약 (Schedule), 특정 질병 검색 (Search), 기부 (Donate) 등 민감한 사용자 상호작용을 추적하는 커스텀 이벤트가 많이 설정되었습니다.
  • 예시: "발기부전 (erectile dysfunction)", "HIV", "자폐증" 등의 버튼 클릭을 추적하는 사례가 발견됨.

B. 신원 추적 (Identity Tracking)

• 1 차 쿠키 (First-Party Cookies): 3 차 쿠키 차단에도 불구하고 작동하는 1 차 쿠키 (_fbp, _fbc) 는 **98.4%**까지 채택되었습니다. 이는 기본 설정이 '활성화'되어 있고, 비활성화 과정이 복잡 (Dark Pattern) 하기 때문입니다.
• 자동 고급 매칭 (Automatic Advanced Matching, AAM): 사용자 입력 폼 (이메일, 전화번호 등) 에서 해시된 개인 식별 정보를 수집하는 기능입니다.
  • 기본 설정은 비활성화였으나, Meta 의 유도 (Nudging) 로 인해 채택률이 높았습니다.
  • 건강 웹사이트에서는 2022 년 이후 규제 강화 (FTC/HHS 경고) 로 인해 채택률이 감소했으나, 2024 년에도 여전히 **47.8%**가 사용 중이었습니다.

C. 추적 제한 (Tracking Restrictions)

• Unwanted Data (블랙리스트/민감 키): 특정 URL 파라미터나 데이터 필드를 차단하는 기능입니다.
  • 민감 키 (Sensitive Keys) 는 SHA-256 해시 형태로 저장되어 있어 역추적이 어렵지만, 저자들은 공개된 데이터베이스를 통해 약 73.8% 를 복호화하여 "의사", "임신", "LGBTQ" 등 민감한 단어가 포함된 키를 발견했습니다.
• Core Setup (2023 년 도입): 민감한 카테고리 (건강, 금융 등) 에 대한 데이터 수집을 제한하는 기능입니다.
  • 채택률: 건강 웹사이트는 2024 년 34.3%, 일반 웹사이트는 **8.7%**로 상대적으로 높게 채택되었습니다.
  • 효과성 한계:
    1. 많은 웹사이트가 여전히 Core Setup 을 적용하지 않음.
    2. 적용된 경우에도 URL 이 도메인 수준으로만 잘리는 것이 아니라, 전체 URL 의 해시값을 전송하여 제한을 우회하는 사례가 발견됨.
    3. 일부 웹사이트는 여러 픽셀을 사용하지만 그중 일부만 Core Setup 을 적용하여 우회함.

5. 의의 및 결론 (Significance & Conclusion)

• 기본 설정의 위험성: 웹사이트 운영자들은 Meta 픽셀의 기본 설정 (Defaults) 을 그대로 사용하는 경향이 강하며, 이로 인해 의도치 않게 민감한 정보가 수집되고 있습니다.
• 규제의 한계: Meta 가 규제 압력에 대응하여 'Core Setup'과 같은 제한 기능을 도입했지만, 실제 구현은 불완전하며 우회 가능성이 존재합니다. 또한, 이러한 설정은 웹사이트 운영자가 직접 선택하기보다 Meta 에 의해 자동으로 적용되는 경우가 많습니다.
• 건강 정보 보호의 중요성: 건강 관련 웹사이트에서 픽셀이 의료 기록, 질병 검색어, 예약 정보 등을 추적하고 있다는 사실은 HIPAA 등 의료 정보 보호 법규와 충돌할 소지가 크며, 규제 기관의 지속적인 감시가 필요함을 시사합니다.
• 향후 연구: 저자들은 제안한 PixelConfig 프레임워크와 데이터를 오픈소스로 공개하여, 다른 추적 픽셀의 구성 분석 및 향후 연구의 기반을 마련했습니다.

이 연구는 단순한 픽셀의 존재 유무를 넘어, 어떻게 구성되는지 (Configuration) 와 어떤 데이터를 실제로 수집하는지를 기술적으로 규명함으로써 온라인 프라이버시와 규제 정책의 실효성을 평가하는 중요한 통찰을 제공합니다.